SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

渡辺洋司のセキュリティインシデント最前線

「内部は安全」がキケン! リモートスタンダードになりつつある今こそ「ゼロトラスト」を

第4回:社内ネットワークを守る多層防御、ゼロトラストの実現に向けて

 これまで複数回にわたり、我々の周囲に潜む様々な脅威について紹介してきた。近年では、悪意ある第三者の攻撃などの脅威も多様化し、個人情報や秘密情報の漏えい等、様々な不利益が目立つ状況である。今回は特に、企業など各組織の対策が不十分な場合に起きてしまうセキュリティ事故、それぞれのリスクの考え方、対策について解説したい。まずは「外部からの攻撃」について、書いていこうと思う。

サプライチェーン攻撃で被る不利益

 これまで紹介してきたように、外部の悪意ある第三者からの攻撃、その脅威はなにも大手の有名企業や官公庁などに限ったことではない。

 たとえば、ターゲットとなる組織の関連会社や取引先などを経由して標的へ不正に侵入するサプライチェーン攻撃。これは生産ラインの停止など妨害行為や、サプライチェーン内にある重要情報の窃取、そして製品へのバックドアや脆弱性などの挿入によって、製品が広く利用されるようになってからの不正アクセスの攻撃など、実に様々な目的で様々な攻撃手法が用いられる。これらは、現代において多くの「商品」を生産し顧客に提供するために「様々な組織、人、プロセスが関わっている」という前提を踏まえ、その中で脆弱な部分をターゲットに攻撃を仕掛けるものだ。

 ハード/ソフトいずれにしても、こうしたサプライチェーンの一角を担っている多くの中小企業にとってこれは他人事ではなく、きちんと対策をとっていなければ当然ながらターゲットとされる可能性がある

 IPA『中小企業の情報セキュリティガイドライン第3版』(PDF)によると、まず有事の際に組織が被るであろう主な不利益は、大きく分けて4種類が挙げられる。

  1. 金銭の損失:金銭の損失には、クレジットカード情報の不正利用や偽サイトへの不正送金、それらにともなう自社業務の停滞、そして事故被害者(情報流出の対象者など)からの損害賠償請求対応などが挙げられる
  2. 顧客の喪失:原因や理由はどうであれ、セキュリティ事故を発生させた企業・組織は管理責任を問われ、社会的な信用は失墜する。それにともなって、多くの顧客は事故を起こしていない同業他社を利用するようになり、結果として顧客を失ってしまうのはごく自然な流れといえる
  3. 業務の停滞:セキュリティ事故が発生すると、組織内ネットワークやサーバなどの停止、インターネットへの接続停止などが行われる。この状態が続くと、内部システムや電子メールが使えなくなるなど社内の各種業務が停滞するのはもちろん、外部からは営業停止と同じ状態となり営業機会の喪失へとつながる
  4. 従業員への影響:従業員への影響で多いのは、セキュリティ事故を起こした際に「現場の責任」と断じて従業員のみを罰し、経営者は責任を取らないような対応をとってしまうことだ。結果として従業員全体の組織への帰属意識や求心力が低下し、労働意欲を失ったり、その組織のイメージダウンを嫌って転職する従業員が増えたり、といったリスクが生じる。また従業員の個人情報が流出するなど適切な保護がなされず、従業員から訴訟を起こされる可能性もある

 そして経営者にも、管理義務がある情報を適切に管理していなかった場合には刑事罰その他の責任を問われ(法的責任)、また流出した情報の提供者や顧客、従業員などの関係者に対する損失の損害賠償責任のみならず、取引先や関係者などとの信頼関係や業界全体のイメージ低下などの責任(社会的責任)も問われることになる。

画像を説明するテキストなくても可

単一ではない「多層防御」による対策

 こうした事故を予防するための対策として現在よく挙げられているのは、以前も触れたが「多層防御」である。改めてこれは、内部ネットワークとの境界を守るセキュリティの考え方と説明されることが多いと思う。内部ネットワークとの入口(侵入対策)や出口(情報持ち出しなどへの対策)、内部(不正アクセスの拡散対策)へのセキュリティ対策を兼ねる。単純なゲートウェイ部分のファイアウォールだけでなくID管理やVPN脆弱性対策、ログ監視など単一では対応できない様々な脅威への対策、そして特定のセキュリティ制御が仮に突破された場合に他の制御でリスクを低減する対策を重ねることで、脅威から守ろうという話をよくされている。

 多層防御を行うためによく言われる方法論は、以下あたりだろうか。

  • 脆弱性管理:利用している機器やシステム、ソフトウェア等を常に最新の状態にアップデートする、FWやフィルタリング、不正アクセスの検知や防御を行うツール等の導入から運用でセキュリティ脅威の侵入を防ぐ
  • アクセス制御:重要な情報には外部から簡単にアクセスできる状況や、内部からなら誰でもアクセスできる状況を生じないようファイルへのアクセス制限や暗号化、アクセスログ監視やネットワーク分離などによって重要情報へのアクセスを制御する
  • 監視や対策を迅速かつ確実に行う専門組織(CSIRTや情報セキュリティ委員会、SOCなど)を設置し、情報収集やトリアージ、社内への情報発信など適切なセキュリティ管理を行う

 またセキュリティ対策としては、

  • ネットワーク対策:ポート制御やフィルタリング、不要な通信の遮断、ログ取得と管理、社内機器やソフトウェア等の脆弱性管理など
  • Webサーバ管理:OSやミドルウェア等の脆弱性管理やサポート状況の確認(バージョン管理含む)、不要なサーバやアプリ等の制御、SQLインジェクションなど主要な攻撃手法への対策管理、SSL証明書管理、不正通信の検知や遮断、定期的な脆弱性診断など
  • 組織のセキュリティ対策:自社と委託先のセキュリティ体制の構築、基本的な自社PC端末管理対策、インシデント発生時の対応準備リストやガイドライン等の作成、緊急時対応体制の構築、定期的な教育や訓練の実施、外部監査や定期的な運用状況見直しなど

あたりがよく挙げられるだろう。

 これらは実に重要な事項であることは間違いない。しかしこれらの実施よりも先に考えるべき、すべきことがあるのではないだろうか。

次のページ
情報セキュリティ“3要素”を確保するための「棚卸」

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
渡辺洋司のセキュリティインシデント最前線連載記事一覧

もっと読む

この記事の著者

渡辺 洋司(ワタナベ ヨウジ)

株式会社サイバーセキュリティクラウド 代表取締役 CTO。
1975年生まれ。明治大学理工学部情報科学科を卒業。大手IT企業の研究開発のコンサルティングを手掛ける企業において、クラウドシステム、リアルタイム分散処理・異常検知の研究開発に携わる。2016年 当社に入社後、CTOや取締役を歴任。...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16860 2022/11/07 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング